๐ Google Chrome 50 auf Android File Scheme Handler Directory Traversal
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
In Google Chrome 50 auf Android wurde eine kritische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktion der Komponente File Scheme Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 11.05.2016 durch Jann Horn als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Blogspot) öffentlich gemacht. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Die Verwundbarkeit wird als CVE-2016-1671 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren auf die Version 50.0.2661.102 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar gehandelt.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 87298, 87299, 87300 und 87302.
CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Directory Traversal
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 50.0.2661.102
Timeline
11.05.2016Advisory veröffentlicht
11.05.2016Gegenmassnahme veröffentlicht
12.05.2016VulDB Eintrag erstellt
12.05.2016VulDB Eintrag aktualisiert
Quellen
Advisory: Stable Channel Update, May 2016
Person: Jann Horn
Status: Bestätigt
CVE: CVE-2016-1671 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87298, 87299, 87300 , 87302
Eintrag
Erstellt: 12.05.2016
Eintrag: 77.3% komplett
...